计算机网络系统设计方案

计算机网络系统设计方案
第一章系统建设的总体原则
1.1 校园网络建设的总体规划
系统建设的总休原则是：安全、高速、稳定。

结合省“十二五”发展规划，为加
速学校网络的教育信息化进程，实现全面应用信息技术，构建数字化校园网络环境，
以信息技术的现代化推动教育的现代化，从而推动学校教育、科研、管理水平的全面
提高。

结合当前技术发展状况及趋势，考虑项目建设和日后运行的成本，在整体设计、设备采购、施工、测试运行的过程中严格遵循以下原则：
（1）统筹规划
校园网络建设是一个庞大的系统工程,建设之前必须站在整体层面，做好项目分析和规划设计工作，整体考虑、统筹规划，确保统一的建设标准、统一的技术标准、统
一的基础架构和统一的组织管理。

（2）分步实施
校园网络建设，涉及到需求调研、方案论证、系统选型、部署与集成、人员培训、运行反馈、修改完善等多个过程，因此整个建设过程实行统筹安排、分步实施，确保
校园网络建设的进度和质量。

（3）加强应用
校园网络建设的核心目的就是“应用”，使学校实现管理信息化和教学数字化，
实现学校各部门之间的快捷沟通，实现学校部及校际之间的数据共享与交换，让广大
师生实现个性化的综合信息服务。

对于校园网络系统来说，安全问题是其首要的问题。

因此，系统设计时应完全按照国家局和国办的有关规要求，从网络安全和应用安全两个层面进行统一的安全规划和管理，对系统中的用户权限和角色进行严格、合理的规定和划分，对用户身份进行严格审核；对用户行为、基本信息单元的存取进行严格的监控与审计。

采用先进的安全保证技术防火墙、上网行为管理等技术保障系统不受入侵，从而切实保证系统信息数据的安全性。

1.3 实用性原则
系统在设计上遵循实用性的原则，系统设计充分体现“以人为本”的设计理念，尽可能为用户提供操作简便、布局清晰、快速有效的使用感受。

1.4 先进性原则
充分利用先进技术，在深入的分析和广泛的调查基础上选用先进、实用的设备来实现先进技术，针对学校的实际业务工作对功能需求进行全面的梳理，注重系统运行效率，为决策支持提供强有力的数据分析功能，使系统在校园工作中真正的发挥出重要作用，真正实现校园网络信息化。

1.5 高集成性原则
在本项目的设计中集成了安全认证系统、知识管理、知识挖掘、可视化工作流、集成通讯、网络防下载、访问控制、数据仓库等高新技术。

针对学校用户的不同要求，在具体分析的基础上设计系统的解决方案。

为学校各大应用软件系统提供一个具有最佳的技术解决方案和网络基础平台。

因此网络应用系统的建设是一个高度集成化的工作，在设计的过程中必须遵守高集成性的原则。

系统设计遵循软总线、星型构件化设计原则，各部分遵循标准的规接口，支持各
个部分之间灵活的沟通与联系，在统一的安全机制下，实现信息数据的充分共享与灵
活集成。

系统的设计要保持开放性，采用搭积木的构建方式，当需求发生变化时，系
统可以便捷的进行扩展和升级，使系统可以不断的生长，达到一种自适应的要求，保
护前期的投资。

1.7 稳定性原则
任何一个综合性的应用系统，都是多个领域的各种软硬产品的集成，这就增加了
系统整体的不稳定性；而且，系统往往需要7X24小时连续稳定的工作；系统的稳定性将关系到系统使用效率，关系到整个系统能否真正有效运转，关系到系统中的各种信
息的安全性、有效性、完整性，因此，只有在系统硬件、操作系统、软件开发平台、
中间件、数据库、应用软件、网络设备等各个环节保证每个组件，乃至整个分系统的
稳定，并在系统集成时严格遵守质量保证体系要求，才能使系统整体稳定性得到保障。

1.8 可扩展性原则
系统建设是一项长期的工作，因此系统在设计之初就遵守开放性和可扩充性的原则。

系统建设引入分层、模块化、标准化的设计思路，充分利用“高聚、低耦合、标
准化”的设计理念，对业务对象进行深入分析，为系统的灵活、可扩展性奠定扎实的
技术基础。

采用SOA服务模型的理念设计系统平台的核心组件，保证平台可移植性、
可扩展性。

1.9 可恢复性原则
信息的有效管理、储存、备份是信息能够被有效利用的基础。

对信息资源的各种
频繁操作，将不可避免的给信息资源，甚至整个信息系统带来损害；一些不可预料的
突发性事件可能造成系统的被破坏；还有各种人为的攻击、破坏都可能造成系统的故
障，直至崩溃。

因此，系统的可恢复性就成为系统建设，尤其是校园信息系统建设的
重要原则。

1.10 可管理性原则
系统管理是指系统使用期间为保证用户安全、可靠，正常使用系统服务而从事的
全部操作和维护性活动。

应该严格的从系统结构、技术措施、运行环境、安全控制等
各方面综合考虑系统可管理性，基于业界最新的ITIL(IT Infrastructure Library)
的IT服务管理思想，提供成熟的IT运维管理解决方案。

使得系统的使用及管理简便、易于操作、实用，保证系统具有高可管理性，降低系统管理和维护成本。

1.11 高带宽
校园网络是一个庞大而且复杂的网络，为了保障全网的高速转发，网络全网的组
网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到高带宽，同时要求核心交换
机和汇聚交换机都要具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶
颈的数据交换。

接入交换机也得充分满足各终端的需求。

第二章学校网络规划与设计
2.1 设计总述
该方案将为整个校园网络提供一个高性能的、具有扩充能力的高效网络。

因此采
用模块化和可扩充的多层次网络体系结构来解决网络设计方面的挑战。

此网络设计提
供了很多优点。

主要包括：
良好的扩充能力：可以方便的增加相应的模块；
容错能力：部件更换，提供冗余网络服务；
可预测的流量模式：包括各种条件下（正常工作与故障条件）网络的各种行为。

与设备的冗余能力结合，如热插拔部件，可以提供更大的灵活性和网络增长的
潜力。

网络系统方案以核心层、汇聚层、接入层为体系架构的万兆骨干网络。

网络具备
升级和扩容能力，以满足校园网络不断增长的业务的需求。

核心层、汇聚层和接入层
网络设备要具有高可扩展性和高可靠性、冗余性，并通过相应的路由协议实现链路之
间的保护和负载均衡，以保证网络安全、稳定的运行，确保校园网络各应用子系统的
运行。

对于校园网络教学性，为用户提供千兆上行的接入服务，整网千兆光纤链路骨干，
具有网络故障收敛速度快、易于管理和维护的特点。

通过把VLAN终结在接入端口，限制广播域围，较少广播报文对网络带宽的消耗。

利用网络中存在的等价多路径实现业
务流量的负载分担。

2.2 网络拓扑简介
出口选用一台1000M高性能的防火墙，通过高吞吐、高转发和高并发用户数来满
足整个学校师生访问外网的高需求，同时该防火墙还连接学校与电教馆的专线，因此
该出口设备性能选用高性能设备。

从中心机房到各志远楼、综合楼、明远楼、实验楼
和艺术楼分别通过多模光纤和多模纤模块连接到各大楼的汇聚交换机，实现高速、稳
定、可靠的主干连接。

各楼层接入交换机分别通过多模光纤连接至各大楼的汇聚交换
机光口，通过多模光纤模块实现全光口1000M上行连接，做到全网络全1000M骨干的高速连接。

本方案中网络结构分成三层：核心层、汇聚层、接入层的层次化结构设计
2.3各层功能设计简介
2.3.1核心层规划设计
核心层设备作为网络的骨干，负责了整个网络所有应用和业务的数据传输任务，所以其转发性能和稳定性是衡量整个基础网络架构好坏的关键，其需要能提供快速的
数据交换和极高的永续性，从备份和负载分担角度出发，此次设计采用双引擎、双电
源设计，双机采用IRF2智能堆叠技术，可实现双链路上行捆绑，共同负载均衡，业务切换的时间在毫秒级，保证了核心层的设备及链路冗余能力；核心交换机采用了高可
靠性的多级交换CLOS架构，实现了主控与交换网板的物理分离，在主控宕机的情况下能够保证已有业务不中断。

另外还须支持双主控、电源冗余、风扇冗余、分布式转发
等特性，提供40G/100G的扩展能力，而且考虑到的安全防护升级和智能可视化管理，核心设备支持多种业务板卡如防火墙/IPS板卡等；为了满足后期针对数据流的监控，核心设备应该能够支持跨板镜像。

2.3.1.1 核心IRF2代智能堆叠介绍
目前，网络中主要存在两种形态的通信设备：盒式设备和框式分布式设备。

将它
们进行比较，我们会发现：
盒式设备成本低廉，但是没有高可用性支持，缺乏不中断的业务保护，无法应
用于重要的场合（例如核心层、汇聚层、生产网络、数据中心等）；在复杂的
组网环境中，盒式设备扩展性差的缺点表现的非常明显，用户不得不维护更多
的网络设备，并且为了增加这些设备还不得不修改早期的组网结构；
框式分布式设备具有高可用性、高性能、高端口密度的优点，因此经常被应用
于一些重要场合（例如核心层、汇聚层、生产网络、数据中心等）。

但它相比
盒式交换机也有一些缺点，比如首次投入成本高、单端口成本高等。

针对盒式设备与框式分布式设备的这些特点，一种结合了两种设备优点的IRF虚拟化技术应运而生。

IRF就是将多台设备通过IRF端口连接起来形成一台虚拟的逻辑设备，如下图所示。

用户对这台虚拟设备进行管理，来实现对虚拟设备中的所有物理设
备的管理。

这种虚拟设备既具有盒式设备的低成本优点，又具有框式分布式设备的扩
展性以及高可靠性优点。

IRF组网应用示意图
从提出虚拟化理念开始，虚拟化技术在不断发展、变化中，不同厂商的技术实现
也不尽相同，但普遍存在以下问题：
支持的功能少。

大部分厂商在虚拟化技术实现时采用了全新的系统架构，导致
在其它设备上很普通很成熟的技术，在虚拟设备上都必须进行单独的支持，而
多年的技术积累很难在短时间重新实现，因此只能保证虚拟设备首先支持基本
功能，而大量的增值服务可能缺失。

功能支持与其它产品有差异。

由于基本架构的不同，很多功能在支持虚拟化的
产品上的实现不同于任何已有产品，用户在使用此类产品前必须熟悉这些差异。

而在与其它产品混合组网时，更需要了解各产品的不同，给用户的管理和维护
带来了很大的不便，增加了维护成本。

技术不成熟造成运行不稳定。

这里说的技术不成熟不是指技术本身，而是技术
应用在虚拟化环境不成熟。

例如虚拟化的一个特点是每个成员都有独立的控制
能力，如何协调各成员的控制就是一个问题。

再比如成员的地位相互平等，每
个成员又都有与其他成员交互的能力，那么随着成员个数的增加，成员间的交
互将成几何级数增加，这就是通常所说的N平方问题，虚拟化必须要很好的考
虑解决这个问题。

总之这些系统相关的问题对各种特性来说都需要新的技术加
以解决。

而这些全新技术的不成熟，会直接影响产品的性能以至运行的可靠。

2.3.1.2 核心交换机技术优点
IRF具有以下主要优点：
简化管理：IRF形成之后，用户通过任意成员设备的任意端口均可以登录IRF系统，对IRF所有成员设备进行统一管理。

而不用物理连接到每台成员设备上分
别对它们进行配置和管理。

简化网络运行：IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统
一运行的，例如路由协议会作为单一设备统一计算。

这样省去了设备间大量协
议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。

IRF技术的这一特性是常见的集群技术所不具备的，后者仅仅能完成设备管理上的统一，而
集群中的设备在网络中仍然分别作为独立节点运行。

低成本：IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有高端设备的端口密度和带宽，以及低端设备的成本。

比直接使用高端设
备具有成本优势。

强大的网络扩展能力：通过增加成员设备，可以轻松自如的扩展IRF系统的端口数、带宽和处理能力。

保护用户投资：由于具有强大的扩展能力，当用户进行网络升级时，不需要替
换掉原有设备，只需要增加新设备既可。

很好的保护了用户投资。

高可靠性：IRF的高可靠性体现在多个方面，例如：成员设备之间IRF物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了IRF系统的可靠性；IRF系统由多台成员设备组成，Master 设备负责IRF系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过IRF系统的业务不中断，从而实现了设备的1:N备份。

IRF是网络可靠性保障的最优解决方案。

高性能：由于IRF系统是由多个支持IRF特性的单机设备虚拟化而成的，IRF系统的交换容量和端口数量就是IRF部所有单机设备交换容量和端口数量的总和。

因此，IRF技术能够通过多个单机设备的虚拟化，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。

丰富的功能：IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF设备的应用围。

广泛的产品支持：IRF技术作为一种通用的虚拟化技术，对不同形态产品的虚拟化一体化的实现，使用同一技术，同时支持盒式设备的虚拟化，以及框式分布
式设备的虚拟化
2.3.1.3 核心交换机CLOS架构特点
多级交换，典型为三级交换架构，在每一级，每个交换单元的输出都与下一级的
所有单元的输入相连。

到指定目的地，在第1级交换单元存在多条路由；到指定目的地，后续交换单元都只存在1条路由严格意义上的无阻塞；支持递归，无限可扩展CLOS交换架构的优势：
可以通过使用较小交换结构作为基础组件来构建大型交换结构，从而简化大型交
换结构的构建。

大幅度减少构建无阻塞交换结构所需要的交叉点，从而减少故障点，
增强交换结构的可靠性。

强大的故障抵御能力，第1级交换单元即可通过冗余路径绕过第2级交换单元的故障交换单元的交换路径完全独立，不会彼此干扰，从而不需要
复杂的集中控制器来协调各交换单元的交换，进一步增强可靠性和可扩展性支持递归
扩展，Clos网络中间级的交换也可以是一个完整的三级Clos网络。

这可支持构建具有五级、七级或九级的巨大交换结构，在极大数量的输入和输出之间建立严格的无阻塞
连接。

由于clos网络的递归特性，理论上它具有无限的可扩展性。

2.3.1.4 数据中心与核心接入设计
数据中心的整体架构为底层是承载网，然后是数据存储、计算、通信三大IT基础组件，再通过业务中间件和数据共享管理层支撑起上层面向应用系统（如电子政务系
统、行业监管等），通过业务中间件和业务应用层实现各部分业务之间的整合与集成，为相关领导提供战略决策和行业监管（如决策支撑系统、数据挖掘、在线分析处理、执行信息系统等等）。

业务中间件和数据共享管理层既要屏蔽底层基础架构不同通信协议、不同数据库、操作系统之间的差异，为上层不同业务应用系统提供统一的接口。

数据中心建设项目遵循开放化和标准化原则，充分考虑原有信息化基础设施，基于标准化IP技术，组建高效智能信息化平台，使整个数据中心及下属各企业的数据整合成为统一整体，最终实现计算、通信、安全、管理一体化
由于各大楼有不同部门办公，因此数据中心也在物理空间和物理设备上分为不同的接入区域。

由于接入部门较多，因此数据中心需要提供同一物理网络上的虚拟化隔离功能，一体化的安全防护和基于业务应用的负载分担。

2.3.1.5 核心交换机虚拟化隔离设计
根据国家4部委所颁布的《信息安全等级保护管理办法》的相关要求，数据中心网络各个应用系统均有独立业务，而且各应用系统之间存在信息安全、的实际需要，因此在建基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离，确保各业务应用系统的独立性，并且需要考虑在部署了业务隔离之后，如何对部分数据进行共享，如何与各业务部门的原有专网进行对接。

MPLS VPN虚拟化技术逻辑示意图
如上图所示，随着网络技术的发展，虚拟化技术得到了广泛的应用。

虚拟化即是在一套物理网络上，采用逻辑隔离技术将网络资源划分为多个逻辑隔离的虚拟通道，虚拟通道间既能达到与物理隔离等同的安全保证，也可以灵活控制某条虚拟通道中的业务对其他虚拟通道的访问。

数据中心网络虚拟化解决方案包括接入控制、通道隔离、统一应用三个部分，实现对整个基础网络、应用资源的虚拟化，提高资源的利用效率、降低管理的复杂度，并且满足了网络的安全性和灵活业务的需要。

数据中心虚拟化网络逻辑图
2.3.1.6 接入控制设计
接入控制能够保证网络访问的安全和接入用户正确获得访问相关资源的权限。

数据中
心虚拟化解决方案接入控制采用防火墙设备来实现上网权限的控制，对通过认证的用
户动态下发VPN和对应的资源访问和使用权限。

通过中央服务器和客户端的配合，还
可以监控接入用户的安全状态，拒绝非法接入网络，防止终端ARP欺骗和攻击，进一步加强了整网的稳定和安全。

通道隔离：通过MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离，把
不同用户、不同应用的数据横向隔离开来，保证数据传输的私密性和安全性。

统一应用：应用服务区通过计算虚拟化、存储虚拟化、虚拟安全等技术，为整网
的隔离用户提供统一的安全策略部署、数据中心服务、流量监控、Internet/WAN访问服务等。

结合中兴数据中心虚拟化解决方案，更能提供用户、专网、数据中心网络、数据
中心服务器的一体化端到端虚拟化，既满足资源的整合需求，又满足了用户、业务的
隔离和访问控制要求。

根据数据中心网络的隔离要求，建议通过MPLS VPN隔离方式进行部署，以满足路警指挥、数据中心/呼叫中心等各个应用系统对网络安全隔离的需要。

数据中心基础网
络部署MPLS VPN后，可以灵活的设置业务隔离后业务之间的逻辑关系。

数据中心通过部署MPLS VPN技术来实现业务的安全隔离，具有如下优势：
1. 业务隔离性高。

通过端到端的VRF隔离，实现业务数据整网的虚拟通道转发，
同时网络部署中极大减少了ACL策略的控制，降低了出错的可能性和安全漏洞，安全
性高。

2. 扩展性、可管理为核心高。

每个VPN维护独立的虚拟路由转发表，允许各VPN 的IP地址重叠，对网络IP地址规划要求低，配置管理简单，能够满足大型网络的应
用
2.3.1.7 负载均衡设计
随着网络的快速发展和业务量的不断提高，基于网络的数据访问流量迅速增长，
特别是对数据中心等的访问，其访问流量甚至达到了10Gb/s的级别；同时，服务器借助HTTP、FTP、SMTP等应用程序，为访问者提供了越来越丰富的容和信息，服务器逐
渐被数据淹没；所有这些都对应用服务提出了高性能和高可靠性的需求。

但是，相对于网络技术的发展，服务器处理速度和存访问速度的增长却远远低于
网络带宽和应用服务的增长，网络带宽增长的同时带来的用户数量的增长，也使得服
务器资源消耗严重，因而服务器成为了网络瓶颈。

传统的单机模式，也往往成为网络
故障点。

负载均衡提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增
加吞吐量、加强网络数据处理能力，提高网络的灵活性和可用性。

负载均衡技术具有
如下优点：
高性能：通过调度算法，将客户端请求合理地均衡到后端各台服务器上，消除
系统可能存在的瓶颈。

可扩展性：当服务的负载增长时，系统能被扩展来满足需求，且不降低服务质
量。

高可用性：通过健康性检测功能，能实时监测应用服务器的状态，保证在部分
硬件和软件发生故障的情况下，整个系统的服务仍然可用。

透明性：高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服务
器；客户端应用程序与服务系统交互时，就像与一台高性能、高可用的服务器
交互一样，客户端无须作任何修改。

部分服务器的切入和切出不会中断服务，
而用户觉察不到这些变化。

当前市场除了传统盒式的负载均衡产品外，也有另外一种形态的负载均衡产品，
它以业务模块的形式将负载均衡的业务处理部分集成到交换机设备中，通常被成为
LB(Load Balance)业务模块或插卡（如下午所示），集成了LB的交换机又被称为负载均衡交换机。

负载均衡交换机
2.3.1.8 模块化产品有以下特点
共享网络特性。

由于与网络设备共享了统一的软件平台，天然支持丰富的路由协
议如RIP、BGP、OSPF和IPv6等网络特性。

一些传统的负载均衡产品是通过License 使用上述网络特性。